【51CTO.com快译】安全运营中心(Security Operations Center,SOC)主要负责组织中信息系统和服务资源的维护、监控和保护。作为一个情报中心,它可以实时收集组织内部资产(包括服务器、网络、终端等)的流动数据信息,从而识别安全事件,并对旅行做出有效及时的响应。
通常,SOC它将涉及广泛的技术、流程和经验丰富的安全专家团队。为了提高效率,SOC通常使用各种自动化工具来简化和支持团队的日常工作。例如,自动化过程可以帮助他们识别网络中的安全威胁,根据既定的风险标准和其他因素确定优先级,并根据需要提供相应的解决方案和建议。
归纳起来,SOC主要活动和职责包括:
- 网络监控——通过不断提高异常检测能力,提高各种数字活动的可视性。
- 预防技术——实施的目的是广泛预防和阻止已知和未知的风险。
- 威胁检测和情报——协助评估和确定各安全事件的起源、严重性和影响程度。
- 响应和补救活动——支持自动化工具和人工干预。
- 报告功能——确保所有事件和威胁都能及时输入到数据存储库中进行后续分析。其报告将有助于使未来的响应能力更加及时和准确。
- 风险与合规——确保从政府和行业执行和遵守各种法律法规。
SOC技术栈的基本组件
俗话说,没有优秀的技术,SOC根本无法操作。让我们来讨论构成安全技术栈的关键工具。
安全信息和事件管理(Security Information and Event Management,SIEM)
SIEM它将自动收集大量来自多个网络源的安全相关数据,并进行分析和关联。它可以帮助您将各种日志数据和网络流量集成到仪表板中,以便方便地使用这些信息。
SIEM该方案通常具有内置的分析功能,允许安全团队识别数据可视化的发展趋势,并确定可疑的模式。例如,通过收集和关联一系列来源的数据,SIEM该系统可以帮助分析师从看似不相关的活动和事件件之间的关系,然后发现潜在的攻击信号。
SIEM该平台的另一个优点是,它们可以将数据集成到报告中。换句话说,SIEM该平台可以自动生成合规的审计报告。这些报告帮助利益相关者(包括不精通网络安全的高级管理人员和其他决策者)了解组织的安全情况,以显示组织当前的内部风险状况。
威胁情报
可以与威胁情报平台相匹配SIEM系统集成,提供上下文的警告。如今,每个组织经常使用一整套安全工具,每个工具都会产生各种警告。如前所述,SIEM该技术可以总结各种工具生成的信息。威胁情报工具将使这些信息通过各种威胁向量和技术数据更多“丰富”、且有根据。
可以说,威胁情报和SIEM结合使用的主要优势就在于:安全运营团队能够确定警告的优先级,减少误报的数量,确保自动化的流程更加高效,以及用最短的时间去处置那些真正可疑的异常行为与攻击。
当然,威胁情报团队除了优先考虑警告外,还可以通过提供上下文信息来评估和确定每个警告的真实内容和风险水平。事实上,分析师和其他利益相关者可以使用威胁情报平台快速确定警告的来源,识别受影响的系统和设备,然后找到威胁的类型。如有必要,分析师还可以快速进行更深入的调查,并追求相关的恶意活动。
Web防火墙 应用程序(WAF)
WAF旨在保护目标网络免受恶意流量的侵害。通过参考OWASP基于十大安全漏洞、零日威胁、未知应用漏洞等Web及时有效地保护关键业务Web免受各种威胁的入侵。
虽然WAF有很多种类型,但它们都有类似的目标——各种分析HTTP在恶意攻击到达服务器之前,减少或消除这些恶意流量的访问。
与传统防火墙相比,WAF能更好地理解通过HTTP传输各种敏感信息。也就是说,WAF它可以防止通常绕过传统网络防火墙的攻击。另一个关键优势是:WAF不需要更改应用程序的源代码,而是通过检测恶意流量,来阻挡黑客利用应用漏洞的各钟可能。
扩展检测和响应(eXtended Detection and Response,XDR)
XDR技术属于主动防御型安全技术栈(请参见--https://www.cynet.com/xdr-security/understanding-xdr-security-concepts-features-and-use-cases/)。它不仅提供了跨越多个数据源的全面可视性,还利用警告分类和威胁搜索来搜索数字资产中未知的威胁。通过大数据分析和人工智能(AI),XDR对云、网络、终端等环境进行自动化智能搜索、数据关联,并提供各种属性值。
在搜索威胁之前,XDR该方案将分析所有数据源中的实体、操作和用户的行为。为了创建一个被视为正常行为的基线,提前关联此类信息。有了基线,XDR通过对比分析,技术会检索各种异常行为,使分析师更有针对性地寻找威胁。
SOC通常会采用XDR发现威胁的来源和当前位置的技术。同时,操作团队也可以使用它XDR,简化工作流程,减少多任务处理的时间和复杂性。这里的多项任务主要包括事件调查和响应、威胁搜索和事件分类。
零信任
零信任安全模型的基本原则是网络上的任何组件都是不可信的。假设用户账户和设备已被盗,只能尽可能少地授予任何用户或设备,并不断验证身份。因此,零信任可以确保增加和实施更多的安全水平,以防止恶意行为者潜入网络,并防止内部人员进行未经授权的操作。
从零信任的角度来看,内部网络和外部网络也很容易受到威胁,因此需要提供相同的保护。因此,实施零信任的组织将实施物理和逻辑网络分段技术,以确保网络中的每个实体只能连接到相关资产,而不能水平移动到网络的其他部分。在技术实现方面,零信任网络技术将验证连接到公司系统的用户、应用程序和服务角色,并使用战略引擎来确定“在什么情况下,允许谁访问哪些内容?”。
安全自动化、编排和响应 (Security Automation,Orchestration,and Response SOAR)
SOAR使用一系列集成工具实现自动检测和响应警告的平台。SOAR它不是一个独立的系统,而是可以有效地安排和使用这些部署SOC其他内部系统。
SOAR一般可提供以下功能:
- 自动化传统任务——包括漏洞扫描、日志查询、新用户配置、冻结非活动账户配置等。
- 自动化响应——SOAR会根据预定义的剧本(playbook),各种警告按计划自动响应。
- 编排——自动分析各种安全事件,集成和关联多种安全工具的输出。
可以说,SOAR不仅可以使用自动剧本显著加速对警告的响应,还可以确保安全分析师不会在重复的手动任务中浪费时间,然后在更复杂的威胁场景中使用现有的分析技能。
区块链网络安全
由于区块链技术可以在交易双方之间建立真实的身份通信,即业界经常提到的平等网络(peer-to-peer network)因此,区块链网络安全越来越受到重视。在这个模型中,区块链中的每个成员都有责任验证任何添加的数据的真实性。因此,它为数据创建了一个几乎不可渗透的网络,从而提供了高度的安全性。
小结
综合利用上述技术,SOC各种安全威胁可以广泛、全面地检测和响应。最后,让我们总结一下SOC如何有效地使用这些先进的安全工具:
- SIEM该系统可以从整个组织中收集各种安全事件,并产生可操作性警告。
- 来自世界各地数百万起安全事件的数据可以用来丰富对内部事件的判断。
- Web应用防火墙(WAF)通过设置策略和规则,可以动态地应用于各种流量模式,为应用程序流量提供实时的安全层。
- 扩展检测和响应(XDR)支持横跨IT环境多个部分的攻击,以实现统一的可视性、检测和响应。
- 零信任可以更严格地控制企业网络的内部流量,防止特权账户通过横向移动构成威胁。
- 安全自动化、安排和响应(SOAR)通过结合各种安全工具,可以定义一系列复杂的自动化活动,自动响应安全事件。
- 区块链网络安全可以保护敏感数据,使其对攻击者毫无用处。
原文标题:The SOC Technology Stack: XDR,SIEM,WAF,and More,作者:Eddie Segal
【51CTO转载合作网站时,请注明原译者和出处51CTO.com】